Tags:
Node Thumbnail

Google กำลังผลักดันการใช้งาน HTTPS อยู่เรื่อย ๆ และล่าสุดข้อมูลจาก Transparency Report นั้น Google ก็ได้รายงานว่าทราฟฟิกการใช้งาน HTTPS โดยมีข้อมูลที่น่าสนใจดังนี้

Tags:
Node Thumbnail

กูเกิลเปิดโครงการ Google Play Security Reward Program สำหรับการจ่ายโบนัสให้กับนักวิจัยเมื่อได้รายงานช่องโหว่ร้ายแรงให้กับผู้ผลิตแอปใน Google Play ที่ไม่ใช่กูเกิล เป็นการจ่ายเงินเพิ่ม 1,000 ดอลลาร์จากที่ผู้พัฒนามีโครงการจ่ายเงินให้รางวัลอยู่ก่อน

ช่องโหว่ตอนนี้ต้องเป็นช่องโหว่รันโค้ดระยะไกล (remote code execution) เท่านั้น โดยครอบคลุมไปถึง Android 4.4 ขึ้นไป กูเกิลระบุว่าผู้ผลิตที่แสดงความตั้งใจว่าจะแก้ไขช่องโหว่จึงได้รับเชิญเข้าโครงการนี้

ผู้ผลิตแอปกลุ่มแรกที่เข้าร่วมโครงการได้แก่ Alibaba, Dropbox, Duolingo, Headspace, LINE, Mail.ru, Snapchat, และ Tinder โดยกูเกิลระบุว่าเปิดให้ผู้ผลิตรายอื่นสมัครเข้าร่วมโครงการได้เรื่อยๆ

Tags:
Node Thumbnail

ทีม Microsoft Offensive Security Research (OSR) ที่ทำงานคล้าย Project Zero ของกูเกิลรายงานถึงช่องโหว่รันโค้ดจากระยะไกลบนเบราว์เซอร์โครม แม้ว่าทีมงานโครมของกูเกิลจะตอบอย่างรวดเร็วและแก้ไขช่องโหว่ภายในไม่กี่วัน แต่กระบวนการเปิดเผยช่องโหว่กลับปล่อยโค้ดแก้ไขก่อนที่จะมีการปล่อยอัพเดต

Tags:
Node Thumbnail

จากประเด็นข่าวเรื่อง Kaspersky กับรัฐบาลรัสเซีย ที่ออกมาอย่างต่อเนื่องในรอบหลายเดือนมานี้ เว็บไซต์ข่าว The Daily Beast (สมัยก่อนเคยเป็นเครือเดียวกับ Newsweek) รายงานข้อมูลวงในว่า บริษัทอเมริกันหลายแห่งเลิกใช้ Kaspersky กันแล้ว โดยเฉพาะบริษัทสายการเงินที่เป็นห่วงเรื่องข้อมูลรั่วไหล

แหล่งข่าวของ The Daily Beast ยังบอกว่าบริษัทที่ปรึกษาด้านความปลอดภัยหลายแห่ง เลือกขายเฉพาะซอฟต์แวร์ความปลอดภัยของบริษัทสัญชาติอเมริกันเท่านั้น และธุรกิจของ Kaspersky ในสหรัฐเองก็ย่ำแย่ และต้องปิดบางฝ่ายงานด้วย

Tags:
Node Thumbnail

แวดวงลินุกซ์ดิสโทรค่ายใหญ่ๆ ต่างอัพเดตแพตช์ความปลอดภัย แก้ปัญหาช่องโหว่ KRACK ของ WPA2 กันแล้ว ใครเป็นแอดมินระบบก็อย่าลืมอัพเดตแพตช์กันครับ แพ็กเกจสาย Debian จะใช้ชื่อ "wpa" ส่วนสาย Red Hat จะเป็น "wpa_supplicant"

Tags:
Node Thumbnail

กูเกิลออกมาตรการใหม่ Advanced Protection Program สำหรับผู้ใช้งานที่ต้องการระดับความปลอดภัยขั้นสูงสุด โดยมีองค์ประกอบ 3 อย่างดังนี้

  • บังคับล็อกอิน 2-Step Verification ด้วยฮาร์ดแวร์ Security Keys เสมอ ถือเป็นการยืนยันตัวตนที่ปลอดภัยขั้นสูงสุด
  • ป้องกันการเผลอหลุดข้อมูลโดยไม่ตั้งใจ บริการอย่าง Gmail และ Google Drive จะไม่อนุญาตให้แอพภายนอกเข้าถึงได้ ยกเว้นแต่แอพของกูเกิลเองเท่านั้น
  • หน้ากู้คืนรหัสผ่านจะเพิ่มความเข้มงวดในการตรวจสอบ ถามคำถามหรือขอข้อมูลมากกว่าปกติ เพื่อยืนยันว่าเราเป็นเจ้าของบัญชีจริงๆ
Tags:
Node Thumbnail

ช่วง 1-2 วันนี้ กูเกิลประกาศฟีเจอร์ด้านความปลอดภัยหลายอย่าง ข่าวนี้เอาเฉพาะของ Chrome อย่างเดียวก่อนครับ

ฟีเจอร์แรกคือบางครั้งที่เราติดตั้งส่วนขยาย (Extension) แล้วมันมาเปลี่ยนค่าใน Settings โดยที่เราไม่รู้ตัว (เช่น เปลี่ยน search engine ไปเป็นยี่ห้ออื่น) ตอนนี้ Chrome สามารถตรวจจับการเปลี่ยนแปลงเหล่านี้ได้ และจะถามผู้ใช้ว่าต้องการรีเซ็ตกลับเป็นเหมือนเดิมหรือไม่

Tags:
Node Thumbnail

การโจมตี KRACK ทำให้การเชื่อมต่อ Wi-Fi แบบ WPA2 ที่เคยเชื่อกันว่าปลอดภัย กลับกลายเป็นมีช่องโหว่ร้ายแรงจนเปิดทางให้แฮกเกอร์สามารถอ่านข้อความภายในการเชื่อมต่อได้ นักวิชาการวิทยาการเข้ารหัสลับ (cryptographer) ชื่อดังอย่าง Matthew Green ก็ออกมาแสดงความเห็นว่าทำไมช่องโหว่ร้ายแรงระดับนี้จึงสามารถหลุดรอดได้เป็นเวลานานถึง 14 ปีเต็ม (ตัวมาตรฐานออกมาตั้งแต่ปี 2004)

Tags:
Node Thumbnail

จากข่าวดังเมื่อวานนี้เรื่อง "KRACK" ช่องโหว่ Wi-Fi ระดับโพรโทคอล ที่เปิดเผยโดย US-CERT แต่สามารถแก้ได้ในระดับซอฟต์แวร์ฝั่งไคลเอนต์

ล่าสุดไมโครซอฟท์เปิดเผยว่าได้อุดช่องโหว่นี้เรียบร้อยแล้ว ในอัพเดตของ Windows รอบเดือนตุลาคม (ที่ออกตั้งแต่วันที่ 10 ตุลาคมหรือ Patch Tuesday รอบล่าสุดที่ออกในสัปดาห์ที่แล้ว) ครอบคลุม Windows 7 SP1, 8.1, 10 และ Windows Server 2008, 2008 R2, 2012 R2, 2016 เรียกว่าใครอัพเดตไปแล้วก็อุ่นใจได้ (กรณีของ 2008 ต้องลงแพตช์เพิ่มเอง)

Tags:
Topics: 
Node Thumbnail

นักวิจัยเปิดรายละเอียดช่องโหว่ KRACKs ที่ US-CERT เริ่มแจ้งเตือนองค์กรตั้งแต่เมื่อเช้านี้ โดยตอนนี้ทาง US-CERT ยังไม่เปิดเผยรายละเอียด (กำหนดคือช่วงหนึ่งทุ่มตามเวลาไทย) แต่ทีมวิจัยก็เปิดเผยงานวิจัยออกมาก่อนแล้ว

Mathy Vanhoef นักวิจัยหลักอาศัยกระบวนการ 4 way handshake (ภาพประกอบด้านล่าง) โดยระหว่างเปิดการเชื่อมต่อ การส่งข้อความที่ 3 จาก access point ไปยังเครื่องลูกข่าย โดยตัวมาตรฐาน 802.11i ระบุให้เครื่องลูกข่ายต้องรองรับการส่งข้อความ 1-3 ซ้ำๆ แม้ว่าจะกระบวนการสร้างกุญแจเข้ารหัสข้อมูลจะเสร็จสิ้นไปแล้วก็ตาม

Tags:
Node Thumbnail

โมดูล TPM เป็นโมดูลที่ช่วยยืนยันความถูกต้องของเครื่องลูกข่าย และใช้ในกระบวนการเข้ารหัสดิสก์ที่แม้แต่ตัวระบบปฎิบัติการเองก็ไม่มีกุญแจถอดรหัส แต่โมดูล TPM จาก Infineon กลับมีช่องโหว่ในกระบวนการสร้างกุญแจทำให้กุญแจ RSA ที่ได้อ่อนแอกว่าที่ออกแบบไว้

ช่องโหว่จากการสร้างกุญแจที่อ่อนแอ ทำให้การเข้ารหัสดิสก์อาจถูกถอดรหัสได้ กระทบทั้ง Chrome OS และ Bitlocker ของวินโดวส์ ขณะที่ฟีเจอร์ Verified Access ของ Chrome OS ก็อาจะถูกโจมตีจากการปลอมตัวเป็นอุปกรณ์ที่ถูกต้อง

Tags:
Node Thumbnail

US-CERT ส่งประกาศแจ้งเตือนไปยังองค์กรสมาชิกประมาณ 100 องค์กร แจ้งเตือนว่าวันนี้จะมีการเปิดเผยช่องโหว่ของการเชื่อมต่อ Wi-Fi แบบ WPA2 ทำให้แฮกเกอร์อาจถอดรหัสการเชื่อมต่อได้สำเร็จ, นำข้อมูลเดิมมาส่งซ้ำ (replay), ขโมยการเชื่อมต่อ (TCP hijack), หรือใส่ข้อมูลเพิ่มเติมไปในการเชื่อมต่อ

รายงานนี้ระบุว่ากระบวนการเชื่อมต่อสี่ทาง (4-way handshake) ในขั้นที่สามอาจจะมีการขอให้ส่งกุญแจหลายครั้งได้ แต่การส่งหลายครั้งกลับใช้ค่า nonce เดียวกัน จนกระทั่งการเข้ารหัสอ่อนแอ

Tags:
Node Thumbnail

Hyatt เชนโรงแรมชื่อดังได้ประกาศว่า ระบบจ่ายเงินของบริษัทมีข้อมูลรั่วไป ซึ่งข้อมูลที่รั่วนี้มีส่วนสำคัญอย่างบัตรเครดิต ซึ่งการรั่วไหลของข้อมูลนี้ถูกตรวจพบครั้งแรกตั้งแต่เดือนกรกฎาคมที่ผ่านมา และได้สอบสวนจนได้ผลสสรุปแล้ว

ข้อมูลบัตรเครดิตที่รั่วของ Hyatt นั้นกระทบกับโรงแรมทั้งหมด 41 แห่งใน 11 ประเทศ ซึ่งทาง Hyatt ได้จัดการกับปัญหาและอิมพลีเมนต์ระบบความปลอดภัยเพิ่มเติมเพื่อทำให้ระบบความปลอดภัยแข็งแกร่งมากยิ่งขึ้น ให้ความเชื่อมั่นกับลูกค้าในการจ่ายเงินผ่านบัตรกับโรงแรมในเครือ Hyatt ทั่วโลก

Tags:
Node Thumbnail

เมื่อสัปดาห์ที่ผ่านมาสำนักข่าวรอยเตอร์รายงานว่ารัฐบาลรัสเซียได้ดูซอร์สโค้ดของโปรแกรม ArcSight ของบริษัท HPE เพื่อให้ผ่านการรับรองสำหรับการขายซอฟต์แวร์ให้หน่วยงานรัฐบาล จนทำให้มีความกังวลว่าหากรัฐบาลรัสเซียพบช่องโหว่และไม่ได้แจ้งกับ HPE จะสามารถใช้ช่องโหว่เหล่านั้นกับหน่วยงานอื่น รวมถึงรัฐบาลสหรัฐฯ ได้

วันนี้ Greg Clark ซีอีโอของไซแมคเทคก็ออกมาให้สัมภาษณ์รอยเตอร์ว่าบริษัทไม่ให้รัฐบาลเข้าดูซอร์สโค้ดอีกต่อไป แม้ว่าก่อนหน้านี้จะเคยให้ดูก็ตาม แต่พบว่าความเสี่ยงจากการให้รัฐบาลดูซอร์สโค้ดนั้นสูงเกินไป โดยเฉพาะความเสี่ยงว่าลูกค้าจะเสียความมั่นใจในตัวซอฟต์แวร์

Tags:
Node Thumbnail

Google Thailand ได้จัดให้สื่อในไทยคุยกับ Adrian Ludwig ผู้อำนวยการฝ่ายความปลอดภัยของ Android เพื่อทำความเข้าใจกับสถาปัตยกรรมของ Android ว่ามีอะไรบ้าง

คนที่ติดตามข่าวความปลอดภัย Android หรือชมวิดีโอจากงาน Google I/O น่าจะพอทราบข้อมูลส่วนนี้กันอยู่แล้ว แต่ก็ขอมาสรุปอีกรอบสำหรับคนที่ไม่ได้ติดตามครับ

Tags:
Node Thumbnail

ธนาคาร Far Eastern International ในไต้หวันถูกแฮกเครือข่ายโดยติดตั้งมัลแวร์บนเครื่องพีซีบางเครื่องในธนาคารจนกระทั่งสามารถสั่งโอนเงินออกจากธนาคารผ่านเครือข่าย SWIFT ได้ถึง 60 ล้านดอลลาร์ ธนาคารปลายทางอยู่ในศรีลังกา, กัมพูชา, และสหรัฐฯ อย่างไรก็ตามทางธนาคารสามารถติดตามเงินเหล่านั้นและโอนคืนมาได้สำเร็จเกือบทั้งหมด เหลือที่สูญเสียจริง 500,000 ดอลลาร์เท่านั้น และอาจจะตามเงินกลับมาได้เพิ่มเติม

แหล่งข่าวไม่เปิดเผยตัวระบุกับ AFP ว่าเงิน 1.3 ล้านดอลลาร์ถูกโอนเข้าบัญชีในศรีลังกา 3 บัญชี และทางศรีลังกาตามจับกุมคนที่เกี่ยวข้องกับการขโมยเงินครั้งนี้ได้ 2 คน

กรณีนี้ทำให้นายกรัฐมนตรีไต้หวันต้องออกมาสั่งหน่วยงานรัฐบาลให้ตรวจสอบความปลอดภัยไซเบอร์ และปิดช่องโหว่ที่พบ

Tags:
Node Thumbnail

EFF (Electronic Frontier Foundation) ออกมาให้ความเห็นเกี่ยวกับการเปลี่ยนแปลงใน Control Center ของ iOS 11 ที่เมื่อปิด Wi-Fi หรือ Bluetooth แล้ว ไม่ได้ปิดการทำงานอย่างสมบูรณ์จริง (อยากปิดให้หมดต้องไปที่ Settings) ตามข่าวก่อนหน้านี้ว่า จะสร้างปัญหาทั้งความปลอดภัยและความเป็นส่วนตัวกับผู้ใช้งาน เนื่องจาก UI ไม่ได้ทำงานอย่างที่มันแสดงออกมา ผู้ใช้งานเองก็จะสับสนสถานะของอุปกรณ์ในตอนนั้น

นอกจากนี้ EFF ยังมองว่าการออกแบบที่ให้ iOS 11 พยายามเชื่อมต่อกับอุปกรณ์และบริการอื่นตลอดเวลานั้น ทำให้มีโอกาสถูกโจมตีจากบุคคลภายนอกได้ง่ายขึ้น ซึ่งมองว่าแอปเปิลสามารถแก้ไขเรื่องนี้ได้ไม่ยาก

Tags:
Node Thumbnail

Disqus บริการระบบคอมเมนต์สำหรับเว็บไซต์เปิดเผยว่าฐานข้อมูลผู้ใช้งานถูกแฮ็ก โดยข้อมูลที่หลุดออกไปเป็นข้อมูล snapshot ตั้งแต่ปี 2012 ย้อนไปจนถึงปี 2007 ประกอบด้วย อีเมล, username ใน Disqus, วันที่ลงทะเบียน, วันที่ล็อกอินครั้งล่าสุด ซึ่งข้อมูลเหล่านี้เป็น plain text กระทบ 17.5 ล้านบัญชี รวมทั้งข้อมูลรหัสผ่าน ที่ hash แล้ว (SHA1+Salt) จำนวน 1 ใน 3 ของบัญชีที่ถูกเจาะ

Jason Yan ผู้ก่อตั้ง Disqus บอกว่าเขาได้รับแจ้งจากนักวิจัยความปลอดภัยอิสระเมื่อวันที่ 5 ตุลาคม ว่าอาจมีข้อมูลหลุดออกไป และได้แจ้งเตือนผู้ใช้บัญชีทั้งหมดที่ได้รับผลกระทบในวันที่ 6 ตุลาคม ให้เปลี่ยนรหัสผ่าน จากนั้นจึงเปิดเผยปัญหานี้ต่อสาธารณะ

Tags:
Topics: 
Node Thumbnail

เมื่อต้นปีที่ผ่านมา Eddie Tipton หัวหน้าฝ่ายความปลอดภัยข้อมูลของ Multi-State Lottery Association (MSLA) สารภาพว่าได้เข้าไปแก้ไขซอฟต์แวร์สร้างเลขสุ่มเพื่อให้คาดเดาหมายเลขที่จะชนะรางวัลได้ โดยเป็นการเข้าไปแก้ไขตั้งแต่ช่วงปี 2005 ถึง 2011 เขาและผู้ร่วมสมคบคิดซื้อหวยที่รู้ว่าถูกรางวัลจำนวนมาก คดีตัดสินไปแล้วเขา Tipton ได้รับโทษจำคุก 25 ปี

Tags:
Node Thumbnail

แอป Uber มีการเข้าถึง API com.apple.private.allow-explicit-graphics-priority ที่ปกติแล้วกันไว้เฉพาะแอปของแอปเปิลเองเท่านั้น โดยยังไม่ชัดเจนว่าทำไมแอปเปิลจึงอนุญาตให้ Uber ใช้งานได้

Will Strafach (@chronic) นักวิจัยด้านความปลอดภัยระบุว่าเขาไม่พบว่าแอปจากนอกแอปเปิลแอปอื่นมีการขอใช้ private API เช่นนี้

ทางด้าน Uber ออกมาระบุว่าแอปเปิลอนุญาต Uber เพราะต้องใช้ฟีเจอร์นี้เพื่อการวาดแผนที่บน Apple Watch รุ่นเก่า และตอนนี้ทาง Uber ไม่ได้ใช้ API นี้แล้ว และกำลังจะถอด API นี้ออกจาก entitlement ของตัวแอป

Tags:
Node Thumbnail

Apple ได้ออก macOS High Sierra 10.13 Supplemental Update โดยออกมาเพื่อแก้ปัญหาหลักหลายอย่าง และปัญหาหนึ่งที่สำคัญมากในอัพเดตครั้งนี้คือคำใบ้รหัสผ่านล็อกดิสก์ที่แสดงออกมาเป็นรหัสผ่าน

สำหรับปัญหานี้เกิดกับ Apple File System (APFS) ซึ่งเป็นระบบไฟล์แบบใหม่ของ Apple โดยจะเกิดขึ้นเมื่อผู้ใช้ล็อกรหัสผ่านดิสก์ คือ Apple บันทึกคำใบ้ของรหัสผ่านเป็น “รหัสผ่าน” ที่ผู้ใช้กรอกจริง ๆ แทนที่จะบันทึกคำใบ้ของรหัสผ่านดิสก์

Tags:
Node Thumbnail

เราเคยรายงานข่าวบัญชี Yahoo ถูกแฮ็กครั้งใหญ่ไปสองครั้ง คือ 1,000 ล้านบัญชีในปี 2013 และ 500 ล้านบัญชีในปี 2014 หลังจากนั้น Yahoo ก็ถูกซื้อกิจการไปโดย Verizon หลังถูกลดราคาลงจากข่าวฉาวดังกล่าว

ล่าสุด Yahoo แถลงออกมาว่าแท้จริงแล้วเหตุการณ์แฮ็กทั้งหมดทั้งมวลนี้กระทบกับผู้ใช้ทุกคนของ Yahoo รวมแล้ว 3 พันล้านบัญชี ซึ่ง Yahoo ไม่ได้ระบุในแถลงการณ์ว่ามีข้อมูลอะไรถูกขโมยออกไปบ้าง แต่บอกอ้อมๆ ว่า "ไม่มี" รหัสผ่านแบบ clear text, ข้อมูลบัตรเครดิต และบัญชีธนาคาร แต่ตามข่าวเก่ามีชื่อ, เบอร์โทรศัพท์, อีเมล, วันเกิด และรหัสผ่านแบบเข้ารหัสไว้

Tags:
Node Thumbnail

กูเกิลรายงานถึงผลการสำรวจความปลอดภัยของโปรแกรม Dnsmasq ที่ทำหน้าที่สำคัญสำหรับการแชร์อินเทอร์เน็ตจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง โดยหน้าที่สำคัญคือการกระจาย DNS และ DHCP ทำให้ลินุกซ์ส่วนมาก รวมถึงแอนดรอยด์ที่มีฟีเจอร์แชร์อินเทอร์เน็ตมักมี Dnsmasq อยู่ด้วย

ทีมงานพบช่องโหว่ 7 รายการ เป็นช่องโหว่รันโค้ดจากระยะไกล 3 รายการ โดยมีหนึ่งรายการ (CVE-2017-14491) สามารถรันโค้ดผ่าน DNS ได้ด้วย ทำให้เมื่อ Dnsmasq ไปขอ DNS จากเซิร์ฟเวอร์ที่มุ่งร้าย เช่น ไปเกาะกับ Wi-Fi ของคนร้าย คนร้ายจะสามารถสั่งรันโค้ด ขณะที่ช่องโหว่รันโค้ดจากระยะไกลอีกสองช่องโหว่เป็นการโจมตีผ่าน DHCP ซึ่งอาจจะมีผลกระทบจำกัดกว่าเพราะใช้สำหรับภายในเครือข่ายที่แชร์อินเทอร์เน็ตด้วย

Tags:
Node Thumbnail

เมื่อวานนี้ทางเพจ BNK48 รายงานถึงสาเหตุที่ผู้ใช้บางส่วนไม่สามารถใช้งานแอป BNK48 Sweet Call ได้ ว่าเกิดจากแฮกเกอร์บุกรุกระบบและทำลายข้อมูล

ไม่มีข้อมูลว่ามีข้อมูลส่วนตัวผู้ใช้หลุดไปหรือไม่ จากการเจาะระบบครั้งนี้ แต่หลังจากแก้ไขระบบจนกลับมาใช้งานได้ จะมีบัญชีบางส่วนที่กลับมาล็อกอินได้อีกครั้ง ขณะที่บัญชีบางส่วนล็อกอินไม่ได้และต้องสร้างบัญชีขึ้นใหม่

ที่มา - Facebook: BNK48 1, 2

Tags:
Node Thumbnail

เมื่อวานนี้สมาคมธนาคารพร้อมกับธนาคารสมาชิก 15 แห่งร่วมกันตั้ง "ศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ" (Thai Bank Sector CERT - TB-CERT)

ศูนย์นี้จะมีหน้าที่หลัก สี่อย่าง ได้แก่ เป็นศูนย์กลางแลกเปลี่ยนข้อมูลการโจมตี, สร้างมาตรฐานกลางความมั่นคงปลอดภัยไซเบอร์, กำหนดกระบวนการรับมือความปลอดภัยไซเบอร์และจัดการซ้อมรับมือ, พัฒนาบุคลากร

การจัดตั้ง TB-CERT ครั้งนี้ได้รับการสนับสนุนจาก ETDA ที่เป็นหน่วยงานแม่ของ ThaiCERT อยู่แล้ว

ที่มา - จดหมายข่าวสมาคมธนาคารไทย

Pages